mercoledì 8 marzo 2017

VAULT 7: WikiLeaks pubblica 8000 file che svelano l'arsenale per hacking della CIA


Due giorni fa WikiLeaks ha pubblicato una lunga serie di tool per l'hackeraggio usati solitamente dalla CIA per spiare milioni di individui privati, aziende, compagnie e associazioni in tutto il mondo. 

Questa fuga di dati, nome in codice Vault7, arriva dopo quella di un altro gruppo di hacker, autodefinitisi come "The Shadow Brokers", che erano già riusciti a entrare in possesso di alcuni di questi strumenti nell'Estate del 2016. Il gruppo, che affermò già al tempo pubblicamente di aver sottratto questi strumenti all'NSA (l'Agenzia di Sicurezza Nazionale statunitense), si è nel frattempo sciolto. 

Secondo la dichiarazione per la stampa rilasciata da WikiLeaks, l'organizzazione è entrata in possesso della "maggior parte dell'arsenale di hackeraggio della CIA, inclusi malware, virus, trojan, exploit "zero day", malware per il controllo dei sistemi da remoto e relativa documentazione". WikiLeaks ha deciso di non pubblicare online gli strumenti stessi, ma di limitarsi alla pubblicazione di pdf. 

Nell'archivio pubblicato (scaricabile via torrent) si trovano, stando al sommario posto all'inizio, documenti riguardanti tool per Windows, Android, iOS e perfino le Tv Samsung.  Alcuni tool sono segnalati come "Confidenziali" o "Top secret", altri ancora marcati col nome delle varie agenzie di intelligenze " FBI, NSA, MI5 ecc..). 

Stando a quanto detto da WikiLeaks, i dati provengono da contractor privati delle agenzie di sicurezza governative o dai vari hacking team delle stesse. Ribadiscono inoltre che questa prima diffusione è soltanto una parte della serie "Year Zero", che comprenderà 8.761 documenti e file. 

Qualche dettaglio in più...
Anzitutto emerge che la CIA ha usato codice già diffuso di alcuni tipi di malware (pescandoli in the wild o nel dar web), per potenziarli e migliorarli. Queste operazioni sono compiute da un gruppo specifico della CIA denominato Umbrage.

Ecco alcune categorie degli strumenti sottratti:
1. Una serie di tool per la raccolta e registrazione di tutte le battiture sulla tastiera inserite da un utente in un terminale
2. Una serie di componenti software finalizzati all'individuazione e alla violazione, via accesso remoto, di una serie di dispositivi di diversa natura.
3. Exploit kit per ottenere i privilegi di amministrazione, sopratutto per i SO Linux e PC-BSD. 
4. Varie utilità di criptazione e furto informazioni.

E le loro fonti...
Tutti questi strumenti sono affinamenti di tool già circolanti e usati "in the wild" tra i quali:
Shamoon: una famiglia di malware che ripulisce gli hard disk dopo averne rubato i dati. La CIA ne ha prodotto una versione utile a cancellare file chiusi/bloccati.
UpClicker: un trojan che si lega ai click del mouse. La CIA ne ha usato alcune parti per rilevare gli ambienti Sandbox, attendendo il click dell'utente prima di continuare.
Nuclear Exploit Kit: un exploit kit non più in uso. La CIA ne ha usato alcune funzioni per evadere l'ambiente il sandobox di Kaspersky.
HiKit: un rootkit scoperto nel 2012. Il team Umbrage l'ha usato per eseguire operazioni di hijacking per ottenere la persistenza su host infetti. 

Stando poi a quanto scritto nei documenti diffusi da WikiLeaks, la CIA per un certo tempo ha pensato di testare e usare alcuni tool dell'azienda italiana Hacking Team, che rivende malware alle agenzie governative: nel 2015 la Hacking Team era finita in mezzo alle polemiche sia per aver venduto malware a governi giudicati dittatoriali sia perché aveva subito un cyber-attacco che provocò la diffusione, nel dark web, di molti dei loro strumenti di hacking. Dai documenti pubblicati emerge che la CIA, circa due mesi dopo l'attacco subito da Hacking Team, stava valutando vari test di quegli stessi strumenti. Oltre a questo, stando alle parole di WikiLeaks, il team Umbrage avrebbe usato anche porzioni di codice di malware sottratti ad altri stati, come la Federazione Russa

Come la Cia ti spia col televisore...
Tra gli strumenti di cui WikiLeaks è venuto a conoscenza c'è anche uno strumento finalizzato a trasformare in una "cimice" i televisori Samsung della serie F8000: nel dettaglio il malware si innesta sul firmware originale e trasforma il dispositivo in un registratore di suoni. Il Malware si chiama Weeping Angel (l'angelo in lacrime), è stato prodotto dall' MI5 (i servizi segreti inglesi)e dalla CIA e, in pratica, mette il televisore in una modalità in cui sembra sia spento, mentre, in realtà è acceso e registra i suoni dell'ambiente circostante: in sunto una vera e propria intercettazione ambientale. Oltre a questo il tool può anche estrarre credenziali e cronologia dal browser e estrarre le credenziali del Wi-Fi.  

Siamo in pericolo?
WikiLeaks non ha pubblicato i tool ovviamente, ma la relativa documentazione si. Questo potrebbe essere sicuramente un "buon aiuto" per alcuni cyber-criminali o per le agenzie di intelligence di altri stati. E di nuovo si apre l'eterno dibattito tra sicurezza e privacy, con una WikiLeaks scatenata contro "una CIA ormai peggiore del Grande Fratello Orwelliano" e "sempre più distante  dai valori costituzionali degli Stati Uniti". 

Nessun commento:

Posta un commento